SSSSLIDE
130821 owasp zed attack proxyをぶん回せ
OWASP Meeting - 7th Local Chapter Meeting 「OWASP ZAPをぶん回せ!〜 活用マニュアル作ってみました」 で使用したPPTです(ちょっと改変あり) 実際には、プレゼン機でZAPを動かすデモがメインでしたので、 PPTを見ても参考にならないかもしれません。 Read less
FoxyProxy Standard インストール&設定 - Qiita
※ポート8080は他のツールやサービスなどと被りがちなので避けるのが無難です。 Firefoxにインストール Firefoxの「アドオン入手」画面に移動 メニューの「ツール(T)」 → 「アドオン(A)」 画面下の【アドオンをもっと見る】ボタンをクリック 表示された「Add-ons」画面の右上にある検索フォームで「foxyproxy standard」を検索 『FoxyProxy Standard』が見つかるので【インストール】ボタンをクリック Firefoxを再起動 https://addons.mozilla.org/ja/firefox/addon/foxyproxy-standard/ に直接アクセスしてもFoxyProxy Standardをインストールできます。 プロキシ設定 新規追加 (Firefox) Firefoxのアドオン管理画面に移動 メニューの「ツール(T)」 →
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・後編
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・後編 2)実際の検査におけるZAPの設定と手順 前編の1)で「Standerd Mode」の状態で「クイックスタート」による検査を行ったが、これはあくまでもZAPの動作を確認するための手順で、実際の検査ではもう少し細かい指定をして検査を行う。 以下に実際の検査時の手順を説明する。 ・ブラウザのプロキシを設定し、ブラウザで検査対象のページにアクセスする 前編の事前準備のところで解説した手順で、ZAPのプロキシ設定の調整(調整不要ならデフォルトで)と、ブラウザへのプロキシ設定を行う。 その状態で、検査対象とするサイトにアクセスすると、ZAP画面下部の「履歴」タブや左の「サイト」のところにアクセスしたサイトやURLが表示される。 ・モー
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編 8月から毎月一度開催されている「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」という、OWASP ZAPハンズオンセミナーに第一回から第三回まで参加し、講師の方に全体的な内容のまとめ&ブログ掲載の許可をいただいたので、これまで私がセミナーで学んだ内容を全部まとめてみます。 時系列に沿ったまとめではなく、セミナーの内容を頭から自習できるような一本の記事に再構成しました。 ブログ記事へのまとめ・編集による間違いやミスの混入の責任は私にあります。 また、一部、セミナーの時にとったメモを見ながら不明点を手元で確かめて書いている箇所があります。 リンク セミナーの案内ページ(セキュリティ診
OWASP ZAP でファジングする方法
オープンソースの脆弱性検査ツールであるOWASP Zed Attack Proxy(ZAP)でファジングする方法について説明します。 (バージョン:v2.2.2) ファジングとは?IPAが公開している「ファジング活用の手引」では以下のように説明されています。 「ファジング」とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法です。 例えば、あるソフトウェア製品に極端に長い文字列や通常用いないような制御コードなどを送り込み、状態を観察します。その結果、予期せぬ異常動作や異常終了、再起動などが発生した場 合、このソフトウェア製品の処理に何らかの問題がある可能性が高いと判断できます。このように、ソフトウェア製品(の開発者)が想定していないデー
ChromeとOWASP ZAPでWeb通信を改竄 - Qiita
TDU CTF参加した時に使いましたので、メモります。 ちなみにFireFoxであれば、以下のエントリを参考にすればok FoxyProxy、ええんやで(^^) インストール&設定 何がしたいか ブラウザ <-> Webサーバ間のHTTP通信を補足し、 その挙動をみて、自分の好みのパラメタやシグネチャを付加し、 改造したパケットを再送信し、それがどういった脆弱性につながるかを観察しようとしました。 TDU CTFではcookie値を書き換えるために利用したという感じです。 イメージでいうと、下記のローカルProxyにOWASP ZAPを利用して、上記を実現しようとしました。 参照: http://www.slideshare.net/zaki4649/ss-39061128 OWASP ZAPの設定その1: Proxyの設定 OWASP ZAPのpreferenceから"local pro
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
